Attacco informatico a Luxottica, blitz in tutta Italia contro i “pirati”

Il coordinamento del Servizio Polizia Postale e delle Comunicazioni di Roma, sta eseguendo perquisizioni domiciliari e informatiche in diverse regioni, in particolare Veneto ed Emilia-Romagna

BELLUNO. Attacco hacker alla Luxottica con richiesta di riscatto respinta dal colosso dell'occhialeria: c'è una svolta nell'inchiesta avviata dal pm Alessandro Gobbis della procura di Milano.

La Polizia Postale, con il coordinamento del servizio Polizia delle Comunicazioni di Roma, ha eseguito diverse perquisizioni domiciliari e informatiche in alcune città italiane, con il sequestro di computer e altro materiale fondamentale per risolvere il caso. Le indagini sono concentrate in particolare in Veneto e in Emilia Romagna: da queste due regioni sono partiti gli attacchi hacker lo scorso 20 settembre nei confronti della società di Leonardo Del Vecchio.

Un grave e pericoloso atto di pirateria informatica che aveva provocato il blocco parziale delle attività produttive in diversi stabilimenti.Luxottica, il cui cuore produttivo è ad Agordo nel Bellunese, non ha ceduto al ricatto degli hacker e i criminali informatici hanno pubblicato sul dark web circa 6mila file dei dipendenti del gruppo dell'occhialeria. I manager hanno deciso di fare muro e di non avviare nessun tipo di negoziato.

Da quel che risulta dalle indagini, i contraccolpi più pesanti si sarebbero registrati su un server di Luxottica in Sud Africa. La direzione del gruppo che non si è piegata alle richieste dei criminali ha poi fatto partire un'indagine coinvolgendo sia la Polizia italiana che l'Fbi, proprio per non lasciare nulla di affidato al caso. Immediati anche gli interventi per ridurre al minimo i contraccolpi sui dipendenti in Sud Africa, sui partner e sulle attività locali.

La protezione delle informazioni aziendali, del personale e della rete di clienti è una responsabilità che Luxottica ha sempre onorato fino in fondo. A dare notizia, nell'ottobre scorso, che le informazioni erano state riversate sul "dark web" era stata Agid, Agenzia per l'Italia Digitale.«Gli autori del ransomware Nefilim non si smentiscono e, a distanza di un mese dall'attacco all'azienda italiana Luxottica, rilasciano al pubblico i dati delle vittime. Il messaggio recapitato alle vittime di Nefilim è chiaro: se la vittima non riesce a pagare il riscatto vedrà pubblicati i propri dati online e quindi accessibili a chiunque» si legge nella nota divulgata da Agid.L'intrusione informatica nei sistemi di Luxottica porta la data di domenica 20 settembre 2020, il giorno seguente la notizia che i software aziendali erano fermi a causa di un "guasto" che aveva fatto il giro dei media.

Fin dai primi rilievi è emerso che la compromissione non si era verificata a causa di un allegato malevolo aperto per sbaglio ma per mano di criminali esperti che avevano individuato e sfruttato una vulnerabilità in Citrix Application Delivery Controller (Adc) and Gateway già nota da dicembre 2019 e descritta nel Cve-2019-19781.Il 18 ottobre 2020, a 28 giorni esatti dalla compromissione, i pirati del web hanno pubblicato su un dominio .onion, quindi accessibile tramite la rete Tor (il software che impedisce la tracciabilità dei computer sulla rete Internet), la prima parte di quelli che dovrebbero essere i dati in chiaro sottratti all'azienda, fornendo così prova della violazione.Il leak pubblicato contiene una serie di documenti MsOffice, prevalentemente fogli di calcolo excel, qualche presentazione powerpoint, qualche documento word e file esportati da Outlook per un totale di quasi 6000 file.«Il fatto che sempre più frequentemente vengano portati attacchi di questo tipo verso obiettivi di grossa levatura o di grande criticità (come ospedali o infrastrutture critiche) dovrebbe far sensibilmente alzare il livello di guardia verso tali minacce.

Bisogna aumentare la consapevolezza aziendale sul comportamento da tenere di fronte a questi attacchi. E bisogna investire su strumenti tecnologici per la rapida detenzione e la mitigazione dei danni causati dagli hacker» conclude Agid.